MỤC LỤC
I. GIỚI THIỆU VỀ DHCP 6
I.1 DHCP là gì? 6
I.2 Ý nghĩa của việc sử dụng DHCP. 6
I.3 Một số thuật ngữ được dùng trong DHCP 7
I.4 Cơ chế xin và cấp phát IP Address cho DHCP Client của DHCP Server 7
a. IP Lease Request 7
b. IP Lease Offer 7
c. IP lease selection 8
d. IP lease acknowledgement 8
I.4 Cơ chế tự động refresh lại thời gian đăng ký (lease time). 9
II. CÀI ĐẶT VÀ CẦU HÌNH DHCP 11
II.1 Qúa trình tương tác giữa Client và Server. 11
II.2 Cách kiểm tra máy Client đã nhận được IP động. 11
II.3 Cài đặt dịch vụ DHCP 11
a. Cài đặt dịch vụ DHCP trên máy 1 11
b. Tạo Scope trên DHCP Server 12
II.4 Cấu hình DHCP 15
a. Cấu hình DHCP Client nhận IP động từ DHCP Server 15
b. Cấu hình DHCP Reservations. 17
c. Server Options 18
III. GIÁM SÁT VÀ QUẢN LÝ DHCP 20
III.1 Giám sát hoạt động của DHCP. 20
III.2 Sao lưu và phục hồi DHCP. 21
a. Sao lưu DHCP 21
b. Phục hồi DHCP 22
III.3 Di chuyển DHCP Server qua một Server khác 24
IV. VẤN ĐỀ BÀO MẬT TRONG DHCP 26
IV.1 Các kiểu tấn công có thể xảy ra đối với DHCP 26
a. Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP có thể cấp cho client 26
b. Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo 27
c. Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo 29
IV.2 Bảo mật cơ bản cho DHCP Server 29
IV.3 Sử dụng Event Viewer để giám sát hoạt động của DHCP 30
IV.4 Các vấn đề cần lưu ý của dịch vụ DHCP 31
V. KẾT LUẬN 32
DANH MỤC TÀI LIỆU THAM KHẢO 33
33 trang |
Chia sẻ: netpro | Lượt xem: 8529 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài Nguyên tắc hoạt động, cài đặt và cấu hình dịch vụ DHCP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
đòi hỏi về khả năng đáp ứng về công nghệ thông tin nói chung và sự thông suốt của hạ tầng mạng nói riêng.
Sự phát triển của Internet cũng đồng nghĩa với việc tăng trưởng về quy mô và công nghệ nhiều mạng LAN, WAN,… Chính điều đó đã làm cho vấn đề sử dụng vi tính càng tăng và với quy mô lớn. Do đó, vấn đề quản lý và cấu hình trở nên quan trọng hơn bao giờ hết. Việc thiết kế mạng và cấp phát địa chỉ IP tự động sao cho nhanh chóng, tiết kiệm thời gian và công sức, tài nguyên của tổ chức là vấn đề đáng quan tâm. Internet phát triển càng mạnh, lượng người truy cập càng tăng, nhu cầu sử dụng vi tính càng nhiều thì người quản trị mạng càng phải tốn nhiều công sức để bảo trì, quản lý, mở rộng khó khăn hơn.
Dynamic host configuration protocol là giao thức cấu hình địa chỉ IP động, là dịch vụ trên nền giao thức TCP/IP nhằm đơn giản hóa vai trò quản trị của việc cấu hình địa chỉ IP của mạng Client. Để triển khai dịch vụ này ta xây dựng DHCP Server trên Windows để cấu hình và cấp phát các thông số cấu hình TCP/IP đến các máy Client trong hệ thống mạng nhằm giảm bớt công việc cấp phát địa chỉ IP 1 cách thủ công.
Vì vậy, chúng em quyết định chọn đề tài “Nguyên tắc hoạt động, cấu hình, cài đặt dịch vụ DHCP” để tìm hiểu.
Trong thời gian qua, chúng em xin chân thành cảm ơn thầy Đặng Trung Thành đã hướng dẫn và giúp đỡ chúng em trong suốt quá trình hoàn thiện bài báo cáo này.
Chúng em xin chân thành cảm ơn!
Bảng phân công công việc
Tên Công Việc
Thời gian bắt đầu
Người thực hiện
Nguyên tắc hoạt động
12-09-2011
Huỳnh Thị Thủy Tiên
Cài đặt và cấu hình dịch vụ DHCP
19-09-2011
Phạm Thị Cẩm Tú
Ngô Thụy Nhi
Slide báo cáo
26-09-2011
Mai Thị Ánh Phượng
Phùng Thị Bích Ngọc
Báo cáo đề tài
03-10-2011
Tất cả thành viên trong nhóm
MỤC LỤC
I. GIỚI THIỆU VỀ DHCP
I.1 DHCP là gì?
DHCP là viết tắt của “Dynamic Host Configuration Protocol” là giao thức cấu hình địa chỉ IP động, là phần mở rộng của BootProtocol, DHCP có nhiệm vụ là cấp phát địa chỉ IP động cho các Client.
Máy tính được cấu hình một cách tự động vì thế việc sử dụng DHCP sẽ giảm việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP.
DHCP bản chất là một dịch vụ cơ sở hạ tầng có trên bất kì một hệ thống mạng nào nhằm cung cấp địa chỉ IP và thông tin DNS server tới các "PC client" hay một số thiết bị khác.
I.2 Ý nghĩa của việc sử dụng DHCP.
DHCP được sử dụng để giúp bạn không phải ấn định địa chỉ IP tĩnh cho tất cả các thiết bị có trong hệ thống mạng của mình và giúp bạn quản lí mọi vấn đề mà địa chỉ IP tĩnh có thể tạo ra.
Thông thường trong 1 mô hình mạng, người quản trị có thể cấu hình IP cho các máy client theo 2 cách là thủ công (static) và cấp phát động (dynamic). Với các hệ thống mạng nhỏ static có thể đáp ứng được nhu cầu ấy, nhưng với các mạng lớn thì việc cấp phát IP một cách tự động là thiết yếu hơn cả và DHCP ra đời đáp ứng nhu cầu ấy.
DHCP cho phép các nhà quản trị mạng có thể từ 1 trung tâm quản lý và tự động mã hoá quá trình gán IP các thông số cho 1 mạng máy tính trong 1 khoảng thời gian nhất định.
Tất cả việc trao đổi thông tin giữa một DHCP server và DHCP client sẽ sử dụng User Datagram Protocol (UDP) port là 67 và 68.
Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể như DNS. Hiện nay DHCP có 2 version: cho IPv4 và IPv6.
I.3 Một số thuật ngữ được dùng trong DHCP
DHCP client - Máy trạm DHCP: là một thiết bị nối vào mạng và sử dụng giao thức DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS.
DHCP server - Máy chủ DHCP: là một thiết bị nối vào mạng có chức năng trả về các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu.
BOOTP relay agents - Thiết bị chuyển tiếp BOOTP: là một máy trạm hoặc một router có khả năng chuyển các thông điệp DHCP giữa DHCP server và DHCP client.
Binding - Nối kết: là một tập hợp các thông tin cấu hình trong đó có ít nhất một địa chỉ IP, được sử dụng bởi một DHCP client. Các nối kết được quản lý bởi máy chủ DHCP.
I.4 Cơ chế xin và cấp phát IP Address cho DHCP Client của DHCP Server
Giao thức DHCP làm việc theo mô hình client /server, do đó quy trình cấp phát IP cho client được thực hiện qua 4 bước sau:
IP lease request
IP lease offer
IP lease selection
IP lease acknowledgement
a. IP Lease Request
Đầu tiên từ DHCP client sẽ broadcast một message tên là DHCP discover. Vì lúc này client chưa có địa chỉ IP nên nó sẽ có source là 0.0.0.0 và cũng ko biết được đích đến là server nào nên nó sẽ gửi 1 tin broadcast với địa chỉ 255.255.255.255. Lúc này gói tin DHCP discover sẽ được broadcast lên toàn mạng. Gói tin này bao gồm cả địa chỉ MAC để DHCP server có thể biết được client nào đã gởi yêu cầu đến.
b. IP Lease Offer
Nếu có một DHCP server nhận được gói tin DHCPDISCOVER của client thì nó sẽ trả lời lại bằng một gói tin DHCPOFFER, gói tin này đi kèm theo những thông tin sau:
MAC address của client
IP address cấp cho (offer IP address)
Một subnet mask
Thời gian thuê (mặc định là 8 ngày)
Địa chỉ IP của DHCP cấp IP cho client này
Lúc này DHCP server sẽ được giữ lại một IP đã offer (cấp) cho client để nó không cấp cho DHCP client nào khác.
DHCP client chờ một vài giây cho một offer, nếu nó không nhận một offer nó sẽ rebroadcast (broadcast gói DHCPDISCOVER) trong khoảng thời gian là 2, 4, 8 và 16 giây.
Nếu DHCP client không nhận một offer sau 4 lần yêu cầu, nó sử dụng một địa chỉ IP trong khoảng [169.254.0.1 đến 169.254.255.254] với subnet mask là [255.255.0.0]. Nó sẽ sử dụng trong một số trong khoảng IP đó và việc đó sẽ giúp các DHCP client trong một mạng không có DHCP server thấy nhau. DHCP client tiếp tục cố gắng tìm kiếm một DHCP server sau mỗi 5 phút.
c. IP lease selection
DHCP client nhận được DHCP offer. Nó sẽ phản hồi broadcast lại một gói tin DHCP request để chấp nhận cái offer đó. DHCP request bao gồm các thông tin về DHCP cấp địa chỉ cho nó. Nói 1 cách dễ hiểu ở đây DHCP client gửi DHCP request như 1 thông báo đã tìm thấy và chấp nhận thuê 1 địa chỉ IP từ con DHCP server và thôi không cho các DCHP server khác gửi các DHCP offer trong trường hợp hệ thống mạng có nhiều hơn 1 DHCP server.
d. IP lease acknowledgement
Khi DHCP server nhận được DHCP request sẽ trả lại DHCP client 1 DHCP ACK or NACK. Để cho biết là đã chấp nhận cho DHCP client đó thuê địa chỉ IP. Gói tin này sẽ bao gồm địa chỉ IP và các thông tin cấu hình khác (DNS server, WINS server, default getway …). Khi DHCP client nhận được DHCP ACK or NACK thì chính thức kết thúc quá trình xin, tìm kiếm địa chỉ IP của DHCP client.
Lưu ý: Quy trình xin, cấp phát IP giữa DHCP Client và DHCP Server tín hiệu truyền đi là tín hiệu Broadcast.
I.4 Cơ chế tự động refresh lại thời gian đăng ký (lease time).
Theo mặc định của DHCP server thì mỗi IP lease chỉ được có 8 ngày. Nếu theo như mặc định (8 ngày) thì một DHCP client sau một khoảng thời gian là 50% (tức là 4 ngày) nó sẽ tự động xin lại IP address với DHCP mà nó đã xin ban đầu. DHCP client lúc này sẽ gởi một DHCPREQUEST trực tiếp (unicast) đến DHCP server mà nó đã xin ban đầu.
Nếu mà DHCP server đó "còn sống", nó sẽ gửi lại gói tin DHCPACK để renew tới DHCP client, gói này bao gồm thông số cấu hình mới cập nhật nhất trên DHCP server.
Nếu DHCP server "đã chết" thì DHCP client sẽ tiếp tục sử dụng cấu hình hiện thời của nó. Và nếu sau 87.5% (7 ngày) của thời gian thuê hiện thời của nó, nó sẽ broadcast một DHCPDISCOVER để update địa chỉ IP của nó. Vào lúc này, nó không tìm tới DHCP server ban đầu cho nó thuê nữa mà nó là sẽ chấp nhận bất cứ một DHCP server nào khác.
Nếu thời gian lease đã hết, thì client sẽ ngay lập tức dừng lại việc sử dụng IP address lease đó. Và DHCP client sau đó sẽ bắt đầu tiến trình thuê một địa chỉ như ban đầu.
Lưu ý: Khi bạn khởi động (restart) lại DHCP client thì nó sẽ tự động renew lại IP address mà trước khi nó shut down.
Bốn vấn đề gói tin của MS và CISCO
Đây là cơ chế của MS
Đây là cơ chế của CISCO
Sự khác nhau ở đây là cơ chế gửi gói tin của MS là broadcast 4 gói tin còn CISCO thì sử dụng unicast với offer và ACK.
II. CÀI ĐẶT VÀ CẦU HÌNH DHCP
II.1 Quá trình tương tác giữa Client và Server.
Khi máy Client khởi động nó sẽ tự động gửi một gói tin yêu cầu đến máy Server trong gói tin đó có kèm theo địa chi MAC của máy Client.
Máy Server trên mạng nhận được yêu cầu đó liền cấp một địa chỉ IP động cho máy Client trong khoảng thời gian nhất định đồng thời cũng kèm theo một SubnetMask và địa chỉ IP của Server.
Sau đó Client sẽ gửi thông điệp chấp nhận IP lại cho Server và máy Server sẽ lọc ra những IP nào chưa cấp và cấp cho các Client tiếp theo.
II.2 Cách kiểm tra máy Client đã nhận được IP động.
Gõ IPCONFIG /RELEASE sau đó là IPCONFIG /RENEW và kiểm tra đã nhận được một địa chỉ IP từ DHCP server mới chưa.
Kiểm tra địa chỉ IP của máy Client từ DHCP Server trong “Address Releases”.
Như vậy là chúng ta đã biết được DHCP server được cấu hình đúng và hoạt động tốt trong mạng.
II.3 Cài đặt dịch vụ DHCP
a. Cài đặt dịch vụ DHCP trên máy 1
B1. Vào Start Ø Settings Ø Control panel ØAdd/Remove Windowns Components .
B2. Kéo thanh trượt xuống chọn Networking Services Ø Dynamic Host Configuration Protocol (DHCP) Ø OK Ø Finish .
B3. Vào Start Ø Administrative Tools Ø DHCP
B4. Right click lên tên máy win2k3-9b5cd08f ØAuthorize (để đăng ký với AD)
b. Tạo Scope trên DHCP Server
B1. Right click lên Server1 ØNew Scope .
B2. Tại hộp thoại Welcome Ø Next .
B3. Tại hộp thoại Scope Name Ø Đặt tên cho Scope (vd: Nhom 17) Ø Next .
B4. Tại đây ta nhập địa chỉ IP bắt đầu và IP kết thúc cho Scope đó như hình bên dưới Ø Next
B5. Tại đây ta nhập dãy IP sẽ loại trừ sẽ không được cấp trong DHCP, ta dùng các IP này để đặt IP tỉnh cho các Server Ø Next .
B6. Tại hộp thoại này là quy định thời gian cho thuê địa chỉ IP mặc định là 8 ngày, chúng ta có thể thay đổi được Ø Next .
B7. Tại đây ta chọn Yes, I want to configure these option now Ø Next .
B8. Tại hộp thoại này ta nhập địa chỉ IP Default Gateway (vd: 192.168.1.1)Ø Next .
B9. Tại hộp thoại DNS nhập địa chỉ DNS vào (vd: 192.168.1.1) Ø Next
B10. Tại hộp thoại WINS ta có thể nhập địa chỉ WINS vào (vd: 192.168.1.1) Ø Next .
B11. Tại hộp thoại này chọn Yes, I want to activate this scope now Ø Next .
B12. Chọn Finish để hoàn thành .
II.4 Cấu hình DHCP
a. Cấu hình DHCP Client nhận IP động từ DHCP Server
B1. Vào Network Connections Ø Right click lên Card LAN Ø Properties .
B2. Tại hộp thoại LAN Properties chọn Internet Protocol (TCP/IP) Ø Properties .
B3. Chọn chế độ nhận IP động là Obtain an IP address automatically Ø OK .
B4. Để xem IP vừa cấp cho DHCP Client thì vào Start Ø Run Ø gõ cmd Ø OK .
B5. Ta sẽ gõ lệnh ipconfig /all Ø Enter để xem IP như hình bên dưới .
b. Cấu hình DHCP Reservations.
B1. Tại máy 2 ta dùng lệnh ipconfig /all để xem MAC Address của card LAN là : 00-0C-29-AA-EB-85
B2. Tại máy 1 mở DHCP Ø Right click Ø Reservations Ø New Reservations .
B3. Tiếp tục ta sẽ đặt cố định IP và nhập MAC Address của Máy 2 vào Ø Add .
B4. Ta chọn Reservations thì sẽ thấy được IP vừa đặt cho Máy 2 .
B5. Kiểm tra: Tại máy 2 có nhận IP cố định được không vào Run Ø cmd Ø gõ lệnh ipconfig /release để xóa IP cũ và gõ ipconfig /renew để nhận IP mới từ DHCP Server cấp .
c. Server Options
Thực hiện trên máy 1
B1. Trong Scope Nhom 17 Ø Scope Option Ø Right click vào 2 giá trị 003 và 006 Ø Delete .
- Kiểm tra lại thấy 2 Option 003 và 006 đã được xóa
B2. Right click lên Server Option Ø Configure Option.
B3. Tiếp tục chọn Option 003 Router Ø Add địa chỉ IP Gateway vào là 192.168.1.1 Ø Add .
B4. Tiếp tục chọn Option 006 DNS Server Ø Add địa chỉ DNS vào là 192.168.1.1 Ø Add ØApply
B5. Kiểm tra: Ta vào lại Scope Option ta sẽ thấy 2 Option 003 và 006 đã có lại sau khi vào Server Option cấu hình lại.
III. GIÁM SÁT VÀ QUẢN LÝ DHCP
III.1 Giám sát hoạt động của DHCP.
Cài đặt cấu hình dịch vụ DHCP là một phần của giải pháp mạng. Vì môi trường làm việc của dịch vụ DHCP là động, thay đổi liên tục. Vậy nên việc theo dõi hoạt động này là cần thiết tránh những sự cố có thể xảy ra trong hệ thống mạng. Cấu hình mặc định của Windows Server 2003 cơ sở dữ liệu của DHCP được lưu theo đường dẫn : %SystemRoot% \ System32 \ DHCP
Sao lưu phục hồi dữ liệu đối với dịch vụ DHCP cũng quan trọng không kém, tăng khả năng chịu lỗi của DHCP Server khi gặp sự cố về phần cứng hoặc phục hồi trong trường hợp đặc biệt. Mặc định dịch vụ DHCP tự động sao lưu trong mỗi 60 phút theo đường dẫn %SystemRoot% \ System32 \ DHCP \ Backup. Trong các trường hợp dịch vụ DHCP không thể nạp dữ liệu thì nó tự động khôi phục lại theo đường dẫn mặc định trên. Lưu ý: Khi bạn thay đổi đường dẫn sao lưu thì quá trình sao lưu và phục hồi bạn phải thao tác bằng tay(Manual)
Đồng bộ dữ liệu: thông thường khi có một số thay đổi về thông tin trong hệ thống mạng hoặc sau khi phục hồi dữ liệu của DHCP thì sự đồng bộ diễn ra chưa kịp thời nên gây ra những sai sót. Để khắc phục ta tiến hành đồng bộ trên hệ thống. Khi đi tiến hành đồng bộ dữ liệu dịch vụ DHCP sẽ tổng hợp 2 thông tin từ Registry và trong cơ sở dữ liệu để tổng hợp chính xác các thông số cấu hình hiện tại. Ta có thể thấy trong Console quản lý.
Đưa ra các định mức hoạt động cho DHCP Server thông qua tất cả những gì liên quan đến Server bao gồm: các services, memory, processor… Theo dõi thông qua các gói tin Discovers,Offer,Requests,Acks... Right Click lên DHCP Server chọn Display Statistics….
Dùng các file log theo dõi sự hoạt động hàng ngày. Các File Log ghi nhận mỗi 24 giờ :
+ Khi DHCP Server vừa khởi động hoặc qua ngày mới (sau 12h đêm) DHCP Server sẽ ghi nhận sự kiện mới lên File Log. Có 2 trường hợp có thể xảy ra :
Nếu File Log đang có cũ hơn 24h thì DHCP Server sẽ ghi đè lên dữ liệu này.
+ Nếu File Log ghi nhận sự kiện chưa quá 24h thì DHCP Server sẽ ghi nối tiếp.
+ Sau khi các dữ liệu bắt đầu ghi nhận thì ta nên kiểm tra xem sự hoạt động các File Log có kích hoạt chưa, dung lượng các file log có tăng đột biến hay không, kiểm tra chính xác ngày giờ hệ thống, dung lượng đĩa cứng có đủ để lưu File Log hay không.
* Ở trạng thái mặc định thì các File Log chỉ lưu 50 sự kiện.
* Nếu dung lượng ổ cứng không đủ nhu cầu tối thiểu là 20 megabytes thì các File Log dừng lại không ghi tiếp.
* Trong Registry cũng quy định không cho các File Log ghi quá 1/7 dung lượng trống trên Server (không quá 10MB nếu dung lượng trống trên Server là 70MB).Trong trường hợp này DHCP Server sẽ đóng các File Log đang có và từ chối ghi nhận sự kiện tiếp theo.
III.2 Sao lưu và phục hồi DHCP.
Sao lưu DHCP
Toàn bộ Database của DHCP Server nằm trong đường dẫn %systemroot%\system32\dhcp.
Nơi thực hiện: Domain Admin, DHCP Admin, Local Admin, Backup Operator.
Vào Start à Run gõ lệnh dhcpmgmt.msc
Chuột phải vào DHCP Server --> Chọn Backup
Chỉ đường dẫn để lưu trữ Database của DHCP Server
Nhấn OK để hoàn tất backup
Phục hồi DHCP
Nơi thực hiện : Domain Admin, DHCP Admin, Local Admin, Backup Operator.
Vào Start --> Run gõ lệnh dhcpmgmt.msc
Chuột phải vào DHCP Server --> chọn Restore
Chỉ đường dẫn đến thư mục đã backup dhcp trước đó --> OK
Hệ thống sẽ yêu cầu stop và sau đó sẽ restart lại dịch vụ DHCP --> OK
Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile All Scopes để đồng bộ hóa giữa Database và Registry.
Ok, đến đây công việc khôi phục Database trên DHCP đã hoàn thành
III.3 Di chuyển DHCP Server qua một Server khác
Trong thực tế, đôi lúc chúng ta cần phải di chuyển một DHCP Server từ server này qua một server khác để đáp ứng nhu cầu công việc của công ty. Để hiện thực việc di chuyển một DHCP Server chạy trên Windows Server 2003, bạn cần phải tiến hành các bước sau :
Xuất cơ sở dữ liệu của DHCP Server đang sử dụng trên máy cũ ra một file text.
Cài đặt một DHCP Server trên máy tính Windows Server 2003 mới.
Nhập cơ sở dữ liệu của DHCP Server cũ từ file text vào DHCP Server mới.
Các bước thực hiện như sau:
Log on vào DHCP Server cũ với account thuộc nhóm Administrators
Vào Start --> Run gõ lệnh cmd --> OK
Nhập vào dòng lệnh netsh dhcp server export C:\export_dhcp.txt all để xuất tất cả cơ sở dữ liệu của DHCP Server cũ ra file text export_dhcp.txt
Cài đặt DHCP Server trên máy tính mới. Chỉ cài đặt dịch vụ, không cần phải cấu hình bất kỳ một scope nào.
Trên máy DHCP Server mới, copy file đã export từ Server cũ vào máy tính (copy vào C:\).
Trên máy DHCP Server mới, vào Start --> Run gõ lệnh cmd --> OK
Nhập vào dòng lệnh netsh dhcp server import C:\export_dhcp.txt để nhập file cơ sỡ dữ liệu từ Server cũ vào Server mới.
Khởi động lại DHCP Server để hoàn thành việc di chuyển này.
IV. VẤN ĐỀ BÀO MẬT TRONG DHCP
IV.1 Các kiểu tấn công có thể xảy ra đối với DHCP
Như đã biết, hầu hết dịch vụ DNS và DHCP mặc định không được bảo mật. Lợi dụng điều này, các attacker có thể tiến hành tấn công các máy chủ chạy dịch vụ DNS và DHCP. Đối với dịch vụ DHCP thì các kiểu tấn công mà attacker có thể thực hiện đó là :
a. Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP có thể cấp cho client
Khi DHCP Server nhận được một DHCP request từ client, DHCP Server sẽ cung cấp cho client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp. Vì không có cơ chế chứng thực trong quá trình này, các attacker có thể dễ dàng tấn công làm ngưng dịch vụ này trên DHCP Server.
Attacker có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP request với các giá trị MAC address thay đổi liên tục đến DHCP Server. Khi DHCP Server nhận được các request với các MAC address khác nhau, DHCP sẽ cấp một giá trị IP ứng với mỗi request đó. Vì số lượng địa chỉ IP có giới hạn nên chỉ cần một lượng request tương đối là attacker có thể đăng ký hết số lượng IP này trên DHCP. Kết quả là các request hợp lệ của client sẽ không được DHCP Server cung cấp IP vì lúc này dịch vụ DHCP sẽ không còn phục vụ cho người đến sau. Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà attacker có thể thực hiện. Điều đáng nói ở đây là kẻ tấn công chỉ cần rất ít thời gian và bandwidth là có thể thực hiện được việc tấn công này.
Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các switch có tính năng bảo mật của Cisco. Các switch này sẽ giới hạn số lượng MAC address có thể sử dụng trên một port. Mục đích là để ngăn chặn việc trong một khoản thời gian giới hạn, một port của nó có quá nhiều MAC address được phép sử dụng. Nếu vượt qua quy định này, port đó sẽ shutdown ngay lặp tức. Thời gian để port này có thể hoạt động lại tùy thuộc vào giá trị mặc định hoặc do người quản trị mạng thiết lặp. Bằng cách này, thiết bị này có thể ngưng kiểu tấn công vét cạn đối với dịch vụ DHCP.
b. Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo
Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp phát IP cho client và DHCP client không biết địa chỉ IP của DHCP Server trong quá trình xin cấp IP. Lợi dụng việc này, attacker có thể xây dựng một DHCP Server giả mạo (Rogue DHCP Server), mục đích là cung cấp địa chỉ Default Gateway giả mạo (địa chỉ IP này là của attacker hoặc một máy tính nào đó được đặt dưới sự kiểm soát của attacker) cho DHCP client. Việc này cho phép attacker có thể xem trộm nội dung gói tin. Các bước tiến hành như sau :
Đầu tiên, attacker xây dựng một DHCP giả mạo với đầy đủ các thông số để cấp cho client.
Khi một DHCP client broadcast một gói tin DHCPDISCOVERY, cả hai DHCP hợp lệ và DHCP giả mạo cùng gửi gói tin DHCPOFFER đến client.
Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do đó để chắc chắn rằng client sẽ nhận được gói tin do DHCP Server giả mạo cấp, attacker thường tiến hành tấn công từ chối dịch vụ theo kiểu “vét cạn” đối với DHCP Server thật.
Trong gói tin response đến client, địa chỉ Default Gateway lại chỉ về máy tính cho attacker kiểm soát.
Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là internet). Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo và nội dung bên trong bị xem trộm.
Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway thật. Nhưng khuyết điểm của kiểu tấn công này là, attacker chỉ có thể xem trộm gói tin theo chiều từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài gửi đến client thì attacker hoàn toàn không biết.
Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính năng bảo mật dành cho DHCP. Tính năng này được gọi là DHCP snooping, bằng cách chỉ cho kết nối đến DHCP trên một hoặc một số port nhất định mà thôi. Các port này được gọi là trusted port, chỉ có những port này mới cho phép gói tin DHCP response hoạt động. Port này được người quản trị mạng kết nối đến DHCP Server thật trong mạng. Mục đích là ngăn chặn không cho DHCP giả mạo hoạt động trên những port còn lại.
c. Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo
Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle. Thay vì giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp địa chỉ IP của DNS Server giả. Trên DNS Server này chứa các thông tin phân giải tên đã bị “nhiễm bẩn” (DNS Server nằm trong sự kiểm soát của attacker). Khi người dùng muốn phân giải tên địa chỉ First Place - Your First Place on the Internet. DNS Server giả mạo sẽ dẫn client đến địa chỉ 99.99.99.99 là website giả được dựng lên bởi attacker. Bằng cách giả mạo trang chủ giống y website thật là First Place - Your First Place on the Internet. Attacker có thể capture các thông tin nhạy cảm như user id và mật khẩu. Sau khi nhận được thông tin này, website giả mạo sẽ thông báo đăng nhập sai, sau đó sẽ redirect đến website First Place - Your First Place on the Internet thật.
IV.2 Bảo mật cơ bản cho DHCP Server
Bảo mật về mặt vật lý cho các máy chủ DHCP (physically secure)
Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống.
Triển khai và ứng dụng các giải pháp anti-virus mạnh cho hệ thống.
Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows.
Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc uninstall đi.
Thực hiện việc quản lý DHCP với user có quyền hạn tối thiểu nhất.
DHCP Server phải được đặt phía sau firewall.
Đóng tất cả các port không sử dụng đến.
Để tăng thêm tính bảo mật cho DHCP Server, bạn có thể sử dụng VPN tunnel để bảo mật traffic DHCP.
Sử dụng filter MAC Address.
Giám sát hoạt động của DHCP bằng cách xem qua các file log và xem thông tin thống kê của hệ thống trên DHCP Server.
IV.3 Sử dụng Event Viewer để giám sát hoạt động của DHCP
Bạn có thể sử dụng công cụ Event Viewer nằm trong thư mục Administrative Tools để giám sát hoạt động của DHCP. Event Viewer lưu trữ các sự kiện của system, application và security. Tất cả các sự kiện giám sát hoạt động của DHCP được ghi nhận trong security log. Các thông tin này ghi nhận cả hoạt động của dịch vụ DHCP và DHCP Server, ví dụ như DHCP Server được start và stop vào lúc nào, dãy IP cấp cho client gần cạn kiệt vào lúc nào, database của DHCP bị lỗi vào lúc nào.
Mỗi một sự kiện trong log được đánh một mã số (ID number) riêng biệt với nhau. Sau đây là một vài ID sự kiện thường gặp trong system log của DHCP :
Event ID 1037 (Information): cho biết DHCP Server đã xóa sạch cơ sở dữ liệu.
Event ID 1044 (Information): cho biết DHCP Server được ủy quyền (authorized) để có thể cung cấp địa chỉ IP cho client.
Event ID 1042 (Warning): cho biết dịch vụ DHCP đang chạy trên hệ thống thì phát hiện có dịch vụ DHCP khác cũng được chạy trên mạng (tức là có 2 máy tính chạy dịch vụ DHCP trong hệ thống).
Event ID 1056 (Warning): cho biết dịch vụ DHCP được chạy trên máy chủ Domain Controller nhưng nó không được cấu hình để cập nhật DNS động.
Event ID 1046 (Error): cho biết dịch vụ DHCP chạy trên Server này chưa được ủy quyền (authorized) để có thể cung cấp IP động cho client.
IV.4 Các vấn đề cần lưu ý của dịch vụ DHCP
Có các trường hợp Client tự cài dịch vụ DHCP trong hệ thống mạng(DHCP Server giả mạo) điều này gây ảnh hưởng đến các Client muốn được cấp IP nhưng nằm xa vị trí DHCP Server thật sự. Do tính hiệu xin và cấp địa chỉ IP là Broadcast nên sẽ có trường hợp Client nhận không đúng thông số IP do DHCP Server giả mạo cấp. Bạn cần rà soát kỹ trong hệ thống mạng của mình.
Các thiết bị phần cứng như Router ADSL,Wireless.. cũng có khả năng cấp địa chỉ IP, do đó cần tắt chức năng cấp IP động trên các thiết bị trước khi đưa vào sử dụng.
Chỉ có thành viên của nhóm DHCP Administrators mới cấu hình và sử đung các tính năng trong dịch vụ DHCP. Chỉ cần cung cấp đủ quyền cho các đối tượng liên quan đến quản lý duy trì hoạt động của dịch vụ này
V. KẾT LUẬN
Việc tìm hiểu về dịch vụ DHCP đã phần nào hiểu được tầm quan trọng của nó trong quản trị mạng hiện nay, cũng như những ưu và nhược điểm của dịch vụ DHCP. Từ đó, giúp ích cho các nhà quản trị trong việc quản lý và cấu hình để phù hợp với yêu cầu, mục đích của tổ chứ
Các file đính kèm theo tài liệu này:
- 71919422-Nhom-17-De-Tai-04-DHCP.doc